計算機信息系統的安全防范工作必須考慮周全,輕重偏向明顯的安全防范方式無論做得多麼牢固,黑客還是有其它攻擊機會可尋。那麼,還有哪些易被忽略的入侵手段呢?
盜取密碼方法/步驟
密碼被盜取問題每年都被不斷地提起,但是,就是沒有多少人能吸取這些教訓,以及采取實際的行動來解決這個問題。從這裡可以看出,同樣的安全問題之所以年年都在發生,有時並不是用戶不了解,而是用戶不願意按解決它的要求去做。
現在的計算機應用當中有許多方面都在使用密碼提供身份認證,但如果我們所處的網絡環境中僅僅使用密碼來進行身份認證,由於密碼可以被盜取、猜解和暴力破解等方式被黑客獲取,那麼,這種方式可能帶來的入侵和黑客攻擊風險要比多身份驗證方式要大得多。
實際上,密碼只是人們通過鍵盤輸入的一串字符串,我們必需牢記自己設置好的這個密碼字串,以便在需要的時候能正確輸入。通常,為了安全,要求設置的密碼有足夠的長度,例如最小8位;足夠的復雜程度,例如其中應當包括大小寫字母,數字,可使用的特殊符號等。
可是,要產生一個具有足夠安全性的密碼並不困難,難就難在僅憑頭腦來記住這個復雜的密碼,尤其長度超過16個字符的密碼時,就顯得相當困難。更不要說在應用計算機的過程中有許多方面都需要設置密碼,如果每個密碼都不相同,並且都滿足密碼復雜性要求,那麼,要一個人同時記住這麼多的密碼就更加困難了。因而就有很多用戶為了減輕記憶各種不同復雜程度密碼的負擔,就在許多方面使用一個相同的密碼。但用戶忘記了密碼可以被黑客通過字典猜測或暴力破解的方式盜取,這樣一來,一旦這個密碼被黑客盜取,那麼所有使用此密碼的服務將沒有任何安全可言。
不幸的是,人們對在使用密碼過程中存在的這些問題似乎視而不見,目前,一些用戶還存在下列所示的這些錯誤使用密碼的行為,這些行為就是導致密碼被黑客輕易盜取的主要原因。
這些導致密碼被黑客盜取的主要原因有:
(1)、將同一個密碼應用到操作系統登錄、應用程序訪問,以及網絡訪問和數據庫訪問等各個方面,這使得只需要盜取一個密碼就可以獲取此用戶所有的使用此密碼的服務權限。
(2)、用戶知道需要設置一個相當復雜的密碼,但是為了防止自己在過一段時間後也不記得,就隨手將這些設置的密碼記錄在紙上,然後將這張記錄有所有密碼的紙片貼在辦公桌對面的牆上或顯示器的邊框上,或者壓在辦公桌的玻璃下,以方便自己隨時可以看到和使用。這樣是防止了自己忘記密碼和方便了密碼的使用,但同時也方便了黑客,黑客只需要想法進入用戶的辦公場所,然後不需要任何方法就可以輕易攻取這些用戶的所有密碼。
有些用戶對密碼的安全性要重視一些,但也僅限於將密碼記錄到一個筆記本、U盤或其它可移動媒介中,並將這些記錄有密碼的介質隨身攜帶或鎖住保管。但如果這些記錄密碼的介質丟失或忘了上鎖,那麼密碼同樣可以被黑客盜取。
(3)、使用一些不安全的網絡通信方式,例如通過FTP、沒有加密的E-Mail或即時聊天工具來發送含有密碼的數據包時,由於這些網絡通信會以明文的方式發送數據,如果黑客使用網絡嗅探器就可以截取這些網絡通信數據包,然後就可以輕松地從中得到密碼。
(4)、導致密碼丟失的另一個問題就是用戶計算機中感染了盜取密碼為主的鍵盤記錄器木馬程序,以及以獲取軟鍵盤輸入數據的屏幕監控或錄像軟件。
(5)、另外,當在一些安裝有視頻監控的場所使用計算機時,一旦黑客可以控制這些攝像頭,或者恰巧監視這些視頻監控設備的工作人員中存在圖謀不軌者,那麼他們就可以通過攝像頭來觀看用戶在輸入密碼時按了那些鍵,然後就可以通過用戶擊鍵識別出密碼字符,這種盜取密碼的方式我們應當在電影鏡頭中經常見到。
從上面列出的造成密碼被盜取的問題可以得知,要減少這個問題帶來的安全風險,最佳的解決方式就是使用復合身份認證,在各種需要密碼的場合使用不同的密碼,並且培訓員工安全使用密碼的習慣,以及使用安全的網絡通信方式,如SSL、VPN或OPENSSH等來進行網絡連接,並規范用戶的網絡操作行為,減少計算機系統中感染木馬的機率等。
“作功課”
做功課並不是我們平常所說的完成老師部置的家庭作業,而是指一些來自我們所在網絡外部的黑客,為了能了解攻擊目標使用的安全屏障而進行的偵察和收集信息的具體過程。簡而言之,它是指黑客集中力量重點調查我們所在網絡的公共或非公共資源,收集盡可能多的信息並分析,以便能找到可以實施哪種具體攻擊方式的突破口的一個持續的過程。由於黑客的這個收集攻擊目標信息的過程與我們平常的學習研究很相像,因此形像地稱它為做功課。
我們都知道戰爭中要知己知彼才能百戰不殆,黑客們同樣也知道這個道理。通常,黑客要對某個具體的目標進行攻擊,他們往往會花費90%的時間來研究目標網絡,黑客們獲取攻擊目標的信息越詳細,攻擊的就越容易,攻擊的成功率也就越高。因此,黑客在攻擊某個目標網絡之前,會花費大量的時間來研究和收集與目標網絡相關的各種重要信息,以便能獲得一個完整的可攻擊的方案。
現在,黑客往往能夠輕而易舉地獲得目標網絡中他們想要得到的任何信息,這又是為什麼呢?
最大的問題就在於現在大部分的企業對各種數據是否可以公開和不公開仍然不是很清楚,他們輕易地將一些與企業相關的重要信息有意或無意地公布到外界當中,通過這些企業免費提供的信息,黑客們通常只需要做很少的功課,就可以在幾分鐘之內對企業的組織結構和運作方式有一個全面的了解。這就給黑客進行社會工程攻擊或物理攻擊方式提供了重要的信息基礎。
但是,許多企業仍然沒有重視對企業內部可對外公布數據的控制,下面就是一些企業輕易洩漏企業內部重要信息的幾種主要行為:
(1)、一些企業會將高層領導和重要員工的電話號碼等聯系方式記錄到某個通信錄中,然後發放到每人部門,其目的是為了方便員工與上級聯系。但通常這些通信錄沒有被嚴密保管,而是隨意放在了可以被每個員工隨手拿到的地方,有的甚至允許被員工帶回家中。這樣,黑客只需要隨便假冒一個身份,例如送外賣,就有可能隨手拿走一本員工通信錄,黑客也就輕易獲取企業內部組織結構和聯系方式。
(2)、企業在注冊WEB域名時,將企業的公司名稱、所處位置、技術管理員的聯系電話,企業的傳真號碼等真實信息放到了域名注冊服務機構,這樣,當黑客使用企業域名查詢時,就可以輕易地得到企業留下的這些重要信息。
(3)、一些企業有時會每月或每周印制一份企業內部刊物,來傳達企業的經營理論,為企業內部營造一個良好的企業文化環境。在這些內部刊物中有時會刊載一些與企業經營相關的重要信息,但這些企業內部刊物的發行卻沒有被嚴格控制,不僅內部員工隨意將這些承載有企業重要信息的刊物隨意丟放,而且有時會無意流通到企業外部,這也就給黑客多了一個了解企業內部信息的重要途徑。
(4)、一個企業的運作總會與其它的企業或機構進行接觸,有時還會在其它機構中留下一些與企業相關的信息。一些企業有時太過隨意,在各種第三方機構中留下太多與企業相關的重要信息。但這些第三方機構不可能100%地保證企業留下的這些數據的安全,這也就使得黑客可以通過這些機構間接獲得與企業相關的數據。
(5)、每個企業都有一個記錄有雇員家庭地址、家庭聯系電話,工作經歷,家庭背景等信息的員工花名冊,而一些企業有時卻無意地將這些信息放到了互聯網中,以至於黑客只需要使用搜索引擎就可以輕松地得到這些信息。
(6)、一些企業內部的物理防范工作做的不到位,有的企業甚至沒有物理防范措施,這就給黑客有機會通過物理接觸的方式獲取需要的信息。
(7)、企業對員工的網絡操作系統沒有嚴格控制,使用一些員工意外地將企業的重要信息放到了網絡上,例如博客或論壇中。
(8)、企業員工對企業或企業中某個領導不滿,或離職的員工有意洩漏公司內部信息到網絡中。
以上這個列表中描述的內容只說明了企業存在的一小部分問題,一些企業有時會洩漏出更多的信息,以至於黑客不需要進行進一步的攻擊就可以得到他想要的信息。對於被攻擊的對象而言,如果將與企業相關的重要信息過多地公布在各種公共場合,那麼,當發現攻擊事件時就為時以晚,面臨的將是損失的大小問題。
本文來自於【系統之家】 www.xp85.com